Recht op inzage van je slimme apparaten: de praktijk moet beter!

door Alex van der Zeeuw en Alexander van Deursen

Tegenwoordig worden steeds meer alledaagse apparaten aangeboden met een internetverbinding. Denk aan de slimme energiemeter, slimme verlichting, slimme deurbel, of de activity-tracker. Dit wordt ook wel het Internet-of-Things genoemd.  De bediening gaat vaak automatisch of op afstand, zoals bij het aanpassen van de verlichting of verwarming. In alle gevallen gaat het gebruik van slimme apparaten gepaard met het verrichten van een groot aantal metingen en de opslag van een enorme hoeveelheid data. Van hartslagfrequentie en slaapritme tot bezoekfrequentie tot gas- of elektriciteitsverbruik. Alles wordt opgeslagen. De gedetailleerde gegevens geven een enorme voorspelbaarheid van gedragspatronen. De mogelijkheden voor derden zijn onuitputtelijk. De voorspelbaarheid kan kwaadwillig worden gebruikt door criminelen, of juist ten goede, bijvoorbeeld voor een korting op een verzekeringspremie. Het is dan wel nodig dat je toegang hebt tot je gegevens en dat het duidelijk is welke gegevens aan deze kortingen bijdragen. Want wanneer een aantal mensen minder betalen, betekent dat ook dat deze gegevens andere mensen juist meer laten betalen. Het is belangrijk dat je de verzamelde gegevens kunt controleren en corrigeren wanneer er foutieve informatie door algoritmen wordt verwerkt. Het krijgen van persoonsgegevens is dan de eerste stap.

GDP-Regelgeving van de EU geeft consumenten het recht om hun opgeslagen gegevens op te vragen. Dan moet het bedrijf dat de gegevens gebruikt (vaak de producent van een slim apparaat) deze binnen een maand in een leesbaar formaat opsturen. Maar waar moet je eigenlijk precies naar vragen? Bedrijven die de apparaten leveren slaan meestal de gegevens op voor productverbetering en marketingdoeleinden. Niet heel consument gericht. Zonder te weten welke gegevens er precies verzameld worden, is het lastig om als consument duidelijk te maken welke gegevens je graag wilt ontvangen. Onder persoonsgegevens wordt bij een bedrijf vaak alleen accountinformatie verstaan. Dat zijn bijvoorbeeld mailadressen, wachtwoorden en rekeningnummers. Wanneer je om meer vraagt, volgt vaak het antwoord dat er verder geen persoonsgegevens worden verzameld, maar bijvoorbeeld alleen wat gegevens over de momenten waarop apparaten worden uit- en ingeschakeld, of gegevens over de gemaakte instellingen en voorkeuren. Hierbij horen bijvoorbeeld ook geografische gegevens die laten zien vanaf waar je het licht thuis aan hebt gezet. Niets persoonlijks dus… Al met al betreft het zeer persoonlijke gedragspatronen die met de opgeslagen gegevens geconstrueerd kunnen worden. In het zeldzame geval dat een bedrijf wel alle gegevens opstuurt, dan betreft het vaak enorme JSON of CSV bestanden, voor velen lastig te openen, laat staan te lezen of begrijpen.

Het opvragen van gegevens van slimme apparaten, dat volgens de wet dus goed geregeld zou moeten zijn, gaat in de praktijk zelden goed. 

In veel gevallen krijg je de informatie niet, onvolledig, of in een onhandelbaar formaat. Is dit dan zo’n probleem? Tot nu toe zorgen persoonsgegevens van het Internet-of-Things voor een vrij kafkaësk proces dat meestal goed uitpakt. Althans, we zijn ons nog niet van het kwaad bewust omdat deze gegevens vrijwel ontoegankelijk zijn. Er is keurig vastgelegd dat je recht hebt op inzage, leesbaarheid en uitleg van de persoonsgegevens die producten verzamelen. Maar wat mist is een duidelijke omschrijving van wat persoonsgegevens allemaal zijn. Wat leesbaar precies betekent, of wat er wordt volstaan met duidelijke uitleg. De wet is er, maar de praktijk moet nog stukken beter.